Users Guide
为 IT Assistant 访问设置附加安全
本节到此,已讨论了有关 IT Assistant 和 Managed System 之间现有 TCP/IP 连接的安全问题。除了这些安全预防措施外,Microsoft 终端服务仅允许具有管理员帐户(管理模式)的
用户随意远程连接,它还可用于限制用户界面连接到运行 IT Assistant 用户界面和服务的系统。图 11-2 中显示了利用终端服务的网络示例。
图 11-2.使用终端服务取得附加安全
在图图 11-2 中,用户可以通过本地安装的终端服务客户端或 Windows XP 远程桌面连接,连接到 IT Assistant Management Station。此连接需要有效的域/用户 ID/密码。有关详
情,请参阅 Microsoft 网站。
通过在所有 Managed System 上将限制设置为仅从运行 IT Assistant 用户界面([UI] 即网络 Management Station)的系统的 IP 地址中接受 SNMP 通信量来实现附加的安全级
别。由于终端服务和远程桌面会话仿真直接来自网络 Management Station 的通信量,因此,对 IT Assistant 的访问仅限于终端服务客户端或本地网络 Management Station 用户。
任何其他连接(例如,另一个远程 IT Assistant 用户界面安装)将无法与网络中正确配置的 Managed System 进行有效通信,因为标识为源自除网络 Management Station 之外的系
统的通信量将被拒绝。
保护 IT Assistant 和其他支持的 Dell OpenManage 应用程序端口的安全
可以使用 IP Security (IPSec) 保护 IT Assistant 服务层端口 2607 和 Managed System 端口 1311、623、161 和 162 的安全。要列出当前在您的服务器上运行的端口,您可以
从命令提示符中使用命令 netstat -an 来显示您系统上所有端口的状况。此命令的结果应表示 IT Assistant Management Station 只应接受从管理 IT Assistant 用户界面的服务器到
端口 2607 的连接(将通过终端服务进行连接)。同样,Managed System 应配置为仅接受来自 Management Station 端口 1311、161 和 162 的连接。
在查找或状况轮询过程中,IT Assistant 使用 ICMP(如果系统配置为使用 SNMP 或 CIM)或 RMCP(如果系统配置为使用 IPMI)数据包对 Managed System 进行 Ping 操作。只
有 IT Assistant 从 Managed System 收到 Ping 响应后,才会继续按配置使用 SNMP、CIM 或 IPMI 进行查找。将防火墙配置为启用进入和外出 ICMP 数据包,以及按用于查找的协
议要求启用其他端口。
仅当打开了其他端口时,软件更新、电源监控等功能才可以使用。表 11-1 列出要配置的 IT Assistant 端口。
表 11-1.ITAssistantUDP/TCP默认端口
注:终端服务是 Microsoft Windows 2000 和 Microsoft Windows Server 2003 的可选组件,可以在管理或应用程序模式中安装该服务。
注:如果以管理模式安装终端服务,最多可以有两个用户登录(只要他们是管理员组的成员)。如果以应用程序模式安装终端服务,则非管理员组可以登录,并且支持两个以上的会
话。但是,应用程序模式安装涉及附加许可。当以应用程序模式在运行终端服务的系统上安装 IT Assistant 时,必须本地执行而不能通过终端会话执行安装。